Son birkaç yılda, fidye yazılımlarının hastaneler, toplu taşıma araçları ve hatta ülkenin tamamında devlete ait bilgisayarları hedef aldığı birçok güvenlik olayını ele aldık. Ardından dünya genelinde yayılan ve sayısız işletmenin faaliyetlerini etkileyen WannaCry, ExPetr ve Bad Rabbit saldırılarıyla beraber silici yazılımların çağı başladı.
Neyse ki son on iki ayda bu büyüklükte başka bir olaya rastlamadık ama bunun nedeni, saldırganların artık yenilgiyi kabul etmiş olmaları değildi. 19 Mart tarihinde Norveçli alüminyum üretim devi Hydro, şirketin tamamını etkileyen bir fidye yazılımı saldırısına uğradığını açıkladı.
Hydro saldırısı: Neler oldu?
Basın toplantısında Hydro sözcüsünün açıklamalarına göre önce Hydro’nun güvenlik ekibi, gece yarısında şirketin sunucularında sıra dışı bir etkinlik olduğunu fark etti. Kötü amaçlı yazılımın yayıldığını anlayıp saldırıyı sınırlamaya çalıştılar. Ancak bunda yalnızca kısmen başarılı olabildiler; santralleri izole etmeyi başardıklarında yazılım, çoktan global ağlarına bulaşmıştı. Hydro, etkilenen bilgisayar sayısı hakkında herhangi bir açıklama yapmasa da şirkette 35.000 insanın çalıştığı düşünülünce bu sayının oldukça büyük olduğunu tahmin edebiliriz.
Hydro’nun ekibi, saldırının etkilerini azaltmak için 7/24 çalışarak en azından kısmi bir başarı elde edebildi. Güç santralleri ana ağdan izole edildiği için saldırıdan etkilenmedi; bu işlem kritik altyapılarla ilgili yapılması gereken en iyi uygulamaydı. Ancak son yıllarda, daha önce hiç olmadığı kadar otomatikleştirilen izabe tesisleri izole edilmemişti. Bu nedenle Norveç’teki bazı izabe tesisleri saldırıdan etkilendi. Güvenlik ekibi, bunların bazılarını daha yavaş ve yarı manuel bir modda çalıştırmayı başarabildi. Yine de Hydro’nun belirttiğine göre “üretim sistemlerine bağlanılamaması, üretim konusunda sorunlara ve bazı tesislerde geçici kesintilere yol açtı”.
Saldırı, çok büyük çaplı olmasına rağmen Hydro’nun faaliyetlerine tamamen engellemedi. Windows işletim sistemini kullanan makineler şifrelenip çalışmaz hale getirilse de Windows’a dayalı olmayan telefonlar ve tabletler çalışmaya devam etti. Bu sayede çalışanlar iletişim kurmaya ve iş ihtiyaçlarını karşılamaya devam edebildiler. Alüminyum üretiminde kullanılan ve her biri 10 milyon EUR değerinde olan banyolar gibi pahalı kritik altyapı elemanları, saldırıdan etkilenmemiş gibi görünüyor. Güvenlik olayı, hiçbir emniyet sorununa da yol açmadı; hiç kimse saldırıdan dolayı herhangi bir yaralanma yaşamadı. Ayrıca Hydro, saldırıdan etkilenen her şeyin yedeklerden geri yüklenebileceğini umut ediyor.
Analiz: Doğrular ve yanlışlar
Muhtemelen faaliyetlerini tamamen eski haline getirmeden önce Hydro’nun yapması gereken çok iş var; olayın araştırılması bile hem Hydro’nun hem de Norveç yetkililerinin epey zaman ve çaba harcamasını gerektirecek. Şu ana kadar saldırıda hangi fidye yazılımının kullanıldığı veya saldırıyı kimin başlattığına dair ortak bir kanıya ulaşılamadı.
Yetkililer, bu konuda birden çok hipotez geliştirdiklerini belirtiyorlar. Bu hipotezlerden biri, Hydro’nun LockerGoga fidye yazılımı tarafından saldırıya uğradığı yönünde. Bleeping Computer bu yazılımı “yavaş” (analistlerimiz de bu tanımlamaya katılıyor) ve “özensiz” olarak tanımlıyor ve yazılımın “tespit edilmemek için hiçbir çaba göstermediğini” de belirtiyor. Saldırganlar, fidye notunda bilgisayarların şifresini çözmek için belirli bir miktarda para istemek yerine kurbanların iletişim kurabileceği bir adres belirtmişler.
Güvenlik olayının analizi henüz tamamlanmamış olsa bile şu aşamada, Hydro’nun hem olaydan önceki hem de olay sırasındaki doğrularını ve yanlışlarını inceleyebiliriz.
Doğrular:
- Güç santralleri ana ağdan izole edildiği için saldırıdan etkilenmedi.
- Güvenlik ekibi, izabe tesislerini nispeten hızlı bir şekilde izole etmeyi başararak tesislerin çalışmaya devam etmesini sağladı (şu anda birçoğu yarı manuel modda çalışıyor).
- Çalışanlar, olaydan sonra bile normal bir şekilde iletişim kurabildiklerine göre iletişim sunucusu da, muhtemelen yeterli düzeyde korunuyordu ve saldırıdan etkilenmemişti.
- Hydro, şifrelenen verilerin geri getirilmesini ve faaliyetlerin devam etmesini sağlayabilecek yedekler oluşturmuş.
- Hydro, olaydan doğacak masrafların bir kısmını karşılayacak bir siber sigortaya sahip.
Yanlışlar:
- Büyük ihtimalle ağ, uygun şekilde segmentlere ayrılmamıştı. Ağ segmentasyonu doğru olsaydı fidye yazılımının yayılmasını durdurmak ve saldırıyı sınırlamak çok daha kolay olurdu.
- Hydro tarafından kullanılan güvenlik çözümü, fidye yazılımını yakalayabilecek kadar güçlü değildi (LockerGoga, nispeten yeni olsa da iyi bilinen bir yazılım, örneğin Kaspersky Security bu yazılımı Trojan-Ransom.Win32.Crypgen.afbf olarak tanımlamıştır).
- Güvenlik çözümü, fidye yazılımlarına karşı koruma sağlayan bir yazılımla desteklenebilirdi. Örneğin diğer güvenlik çözümlerine ek olarak kurulabilen ve sistemi her türlü fidye yazılımı, madencilik yazılımı ve diğer kötü amaçlı yazılımlardan koruyan ücretsiz Kaspersky Anti-Ransomware Tool yazılımımız bunun için idealdir.